JA3: устаревший метод или скрытый потенциал для обнаружения угроз?

Ключевая ценность JA3 заключается в его положении на уровне инструментов в «Пирамиде боли» (Pyramid of Pain), а не среди легко заменяемых индикаторов компрометации (IOC), таких как IP-адреса или домены. Отпечаток JA3 описывает долгосрочный сетевой профиль инструмента, который повторяется во многих образцах, использующих один и тот же сетевой модуль. Технически он формируется из параметров TLS ClientHello (версия, наборы шифров, расширения) и хэшируется по алгоритму MD5.

Следовательно, частотный анализ хэшей JA3 может выявить новое вредоносное инструментальное обеспечение на ранней стадии, еще до появления сигнатур. Основной парадокс заключается в том, что feeds разведки угроз часто перегружены «дешевыми» IOC, в то время как более устойчивые поведенческие индикаторы, такие как JA3, остаются недоиспользованными.

Однако у метода есть и недостаток. Один и тот же отпечаток JA3 может встречаться как в легитимных, так и в вредоносных приложениях, если они используют одну библиотеку TLS. Более того, злоумышленники могут намеренно имитировать профили популярных клиентов вроде Google Chrome. Поэтому рассматривать JA3 как классический IOC («хэш → семейство вредоносного ПО») без контекста рискованно. Без дополнительных данных, таких как имя сервера в SNI, отпечаток сервера JA3S, URI или информация с хоста, это может скорее запутать аналитиков SOC, чем помочь им.

От теории к практике: JA3 как триггер для расследования

Если SOC систематически собирает хэши JA3 и отслеживает их частоту, динамика этих значений сама по себе становится информативной. Внезапный всплеск ранее редкого хэша JA3 часто сигнализирует о появлении нового инструмента, скрипта или автоматизированного клиента в инфраструктуре. Такая аномалия позволяет на раннем этапе идентифицировать потенциально вредоносные компоненты, превращая JA3 в индикатор раннего предупреждения.

Например, хэш "a85be79f7b569f1df5e6087b69deb493" строго ассоциируется с трояном Remcos RAT. Подобные отпечатки можно напрямую использовать в защитных системах или для проактивного поиска угроз. Однако существуют и более неоднозначные случаи. Хэш "e7d705a3286e19ea42f587b344ee6865" в песочнице ANY.RUN связан с червем WannaCry, но при этом принадлежит старой версии сети Tor. Аналитикам SOC всё равно стоит обращать на него внимание, но решение о добавлении в мониторинг требует оценки контекста.

Кроме того, JA3 помогает обнаруживать рискованное программное обеспечение (riskware), что полезно, если такой софт запрещен в корпоративной среде. Например, отпечаток "fce646120fa6eda85228d13e972f19ed" соответствует инструменту удаленной поддержки LogMeIn Rescue.

Углубленный поиск угроз: от хэша к тактикам противника

Рассмотрим более сложный сценарий на примере хэша "e69402f870ecf542b4f017b0ed32936a". Он не может быть однозначно классифицирован как вредоносный, но отлично демонстрирует потенциал JA3 для расследования. Поиск по этому хэшу в Threat Intelligence Lookup от ANY.RUN позволяет найти связанные сессии анализа в песочнице.

Изучив одну из таких сессий, аналитик может в деталях увидеть сетевые соединения вредоносного процесса. Например, вкладка соединений покажет IP-адреса и домены, с которыми взаимодействовал зловред, включая gofile.io и discord.com. Далее, анализ HTTP-потока может раскрыть как похищенные данные, так и название инструмента, ответственного за их утечку.

В результате, начав с одного сетевого отпечатка, исследователь расширяет понимание тактик, техник и процедур (TTP) злоумышленников, идентифицируя методы эксфильтрации. Другие сессии, найденные по тому же JA3, могут показать использование тех же инструментов на базе Go, относящихся к семейству Skuld, для утечки данных через Telegram или GoFile, а также предварительную проверку геолокации жертвы.

Таким образом, проактивный поиск с использованием JA3 позволяет командам SOC расширять контекст сетевых угроз: от единичной подозрительной сессии до кластера связанной активности, устойчивого сетевого профиля и повторяющихся шаблонов коммуникации. В сочетании с SNI, JA3S, URI и телеметрией хоста, JA3 помогает не только находить похожие сетевые сессии, но и уверенно связывать активность с конкретными семействами вредоносного ПО, превращая разрозненные сигналы в целостную картину атаки.

Инструменты вроде Threat Intelligence Lookup призваны помочь в этих задачах, оперативно предоставляя по одному запросу информацию о связанных семействах вредоносного ПО, каналах утечки данных и сопутствующей сетевой активности. Для команд SOC и проактивного поиска, стремящихся обнаруживать инструменты атакующего раньше и надежнее, возможность поиска по JA3 остается важным элементом ежедневной работы, раскрывая потенциал, который часто остается незамеченным.

JA3 Fingerprints

• a85be79f7b569f1df5e6087b69deb493
• d113e8b9d55b97b77077806180483c96
• e69402f870ecf542b4f017b0ed32936a
• e7d705a3286e19ea42f587b344ee6865
• fce646120fa6eda85228d13e972f19ed

SHA256

• 72fa3ff5c1f473698df243455b7741b7a63ace3ce2903f65c8fe407d4ce9b435
• B86f00212f8c04cef7e360e309b1b54648335f7c61099d4677889513166555ef